2008年九大安全事件

日期: 2009-01-12 作者:Thomas Claburn翻译:王煊 来源:TechTarget中国 英文

  市政网遭绑架,政府官员私人邮箱被黑,为了让安全研究人员封嘴而诉诸法庭,对互联网域名系统漏洞的紧急预警——2008年,IT界的各种安全事件不绝于耳,以下只是其中最受关注的一些。

  9.两起交通系统漏洞案

  2008年,美国和荷兰的法院分别审理了两桩各有渊源,又颇为关联的案子:一是来自麻省理工学院(MIT)的三名学生,由于发现了波士顿地铁卡系统的安全缺陷,被马萨诸塞州海湾交通局(Massachusetts Bay Transportation Agency)诉之法庭,要求法院阻止三人公布这些漏洞;二是荷兰的NXP半导体公司(NXP Semiconductors)状告荷兰拉德伯德大学(Radboud University),希望通过法律手段避免拉德伯德大学的研究者将其产品MIFARE智能卡存在的安全漏洞公布于众——伦敦公交使用的“牡蛎交通卡”便是基于该系统开发的。然而两起官司均以原告方败诉收场。

  发现两大系统漏洞的安全专家并没有被法庭勒令封口,可见一向被批评为滞后于技术发展的司法系统,如今也懂得安全研究的价值所在了。今后,这一趋势想必会更加明显。

  布鲁斯?施奈德(Bruce Schneide)是康特潘互联网安全公司(Counterpane)的首席技术官,也是网络安全领域的明星人物。关于NXP事件,他在英国《卫报》(The Guardian)发表专栏文章说:“用加密来保证安全,这个概念本身就有问题。如果你看见哪个机构说为了安全着想必须要设密码——身份证也好,投票机也好,机场安检也好——潜台词就是安全系数不够高,没办法了只好藏着掖着。”

  但是“藏”并不代表万事大吉,只有保持开放的心态才能有真正安全的措施。

  8.莎拉·佩琳:邮箱失窃

  美国阿拉斯加州州长莎拉?佩琳(Sarah Palin)的雅虎邮箱密码被破解后,邮件内容在互联网上疯传。“雅虎门”事件充分表明了在线密码恢复系统的不可靠、政府要员依赖个人邮箱“公事私传”的危险性、以及网民推波助澜的巨大力量。

  互联网警探寻根摸底,从自称对该事件负责的嫌犯所使用的网名下手,没过多久就逮住了幕后主谋:20岁的大卫?科奈尔(David Kernell)——田纳西州民主党众议员迈克?科奈尔(Mike Kernell)之子。邮箱泄密案发生正值美国总统大选扑朔迷离之时,因此选民对这一事件兴致盎然,其热情超过了对案件本身的关注度。

  对科奈尔的审判已从2008年12月推迟到2009年5月,控告力度并不大。科奈尔很有可能逃脱重罚,仅得到行为失误的轻判,当然,一大笔罚款在所难免。

  7.无奈的数据共享

  2008年里,截至10月25日,身份失窃资源中心(Identity Theft Resource,ITRC)已报告585例数据外泄事件,涉及超过3,300万份记录。2007全年,该中心共报告了446例数据外泄事件。目前尚不清楚这31%的增长有多少是源自报告率上升,但绝大多数安全公司都声称网上犯罪数量正在激增,而专门用来盗窃数据的恶意软件数量也空前增多。

  数据失窃并不全部由于犯罪行为造成。如果公司的数据不断增长,而管理人员有心无力,免不了会出现组织失序的情况,数据泄漏常常与此有关。纽约梅隆银行(Bank of New York Mellon)今年2月发生的失窃案就属于此类:一张存有1千万份客户财务记录的备份盘在准备销毁的当口上突然不知去向。收到银行失窃通知的客户们为身份被盗感到担忧,他们只希望能够安全再安全。

  可惜,现在还差得太远。

  6.我关闭了旧金山的网络

  今年夏天,IT界上演了一出肥皂剧。

  2008年7月,担心会被解雇的旧金山网管特里?查尔兹(Terry Childs)挟持了全城网络当人质。他篡改了网络交换机和路由器的管理员密码然后拒不透露。被捕后他仍然不肯开口,直到市长加文?纽瑟姆(Gavin Newsom)出面干涉才解决问题。市长办公室将这次事件形容为“一半是间谍小说,一半是市政府的惨败故事。”
 
  拒不认罪的查尔兹正在等待开庭。这桩特别的绑架案也许不会如同媒体一开始报道的那样简单。曾有一些报道认为查尔兹的行为主要与办公室政治有关,而非真正的罪行。审判时将会有更多内幕消息大白于天下。

  不管如何,查尔兹事件提醒了那些对内部安全马虎大意的机构——网络也会有“内鬼”。

  5.验证码破解高手

  CAPTCHA全称为开放式人机区分图灵测试(Completely Automated Public Turing test to tell Computers and Humans Apart),这种技术能够显示一个扭曲的文本图象,人类能识别这个图像,而计算机不能。不过,这只在理论上成立,在现实中,情况就不是那么绝对了。

  2008年1月,一个名叫“约翰?韦恩”(John Wane)的人自称是俄罗斯安全研究员,他公布了一款软件,据说能破解雅虎用来避免免费邮箱遭自动注册的CAPTCHA系统。韦恩声称该软件的成功率达到了35%。2月,Websense的报告表明,微软的Live Hotmail和谷歌使用的CAPTCHA系统被垃圾邮件发送者破解的比率分别为30%~35%和20%。

  如今,DeCaptcher.com网站公然出售被破解的CAPTCHA,每1000个售价2美元,最小购买量为8美元。CAPTCHA技术曾被视为保护网络安全的坚固城墙,现在最多只能算是个减速杠而已。

  4.互联网最大安全漏洞

  2008年2月,巴基斯坦电信部门以YouTube传播攻击性内容为由,指示互联网服务提供商封杀该网站。在执行这项命令的过程中,巴基斯坦的互联网服务提供商更改了路径信息,假路径的指令随后被发送给香港的互联网服务提供商电讯盈科(PCCW),电讯盈科错误地接受了YouTube的这个错误路径,还把它发送给了全球的网络供应商,导致YouTube一度在全球范围瘫痪。

  尽管人们普遍将这次事故视为意外事件,但ISP非官方组织北美网络运营组(North American Network Operators Group,下称NANOG)的几位互联网技术社区成员仍认为,这次YouTube全球瘫痪故障表明了旧的互联网路由协议——边界网关协议(Border Gateway Protocol,下称BGP)——正逐渐落伍,不能保障安全。

  在NANOG发出的一条消息中,哥伦比亚大学计算机科学系教授斯蒂夫?贝拉文(Steve Bellovin)号召业界部署安全性更高的路由协议S-BGP,尽管某些部署和运行的问题仍有待解决。

  8月举行的Defcon(黑客年会)揭示了BGP的不稳定性,《连线新闻》(Wired News)作家金?扎特(Kim Zetter)将其称为“互联网最大安全漏洞”。她引用贝拉文的话说:“好心人一直提醒说会出事,但20年过去了,大家还是无动于衷!”

  3.黑掉电网

  对黑客来说,入侵网络服务器和入侵电网相比,就像手榴弹对原子弹,前者的影响就算再大,也会在后者面前黯然失色。因此,当2008年1月美国中央情报局资深分析师汤姆?唐纳休(Tom Donahue)证实黑客攻击至少已经造成一起照明中断事故时,他的话引起了安全专家和政府代表的注意。

  在新奥尔良举行的安全会议上,唐纳休发言说:“有信息表明,在美国境外的一些地区,网络攻击曾被用于破坏电力设备,其中至少有一起攻击造成了电力中断,使多个城市停电。我们不知道是谁进行的攻击,也不清楚原因,但所有的入侵行动都是通过互联网进行的。”

  长期以来,美国政府一直十分重视基础设施的漏洞,唐纳休揭露的事件证实了该问题的紧迫性。

  美国SANS协会负责人阿兰?帕勒尔(Alan Paller)认为,这个问题“已经从‘应该注意’转为‘应该立即解决’。这就是为什么政府决定公开这一消息。”

  2.战火永远纷飞

  2008年8月,当全世界都将注意力转向北京奥运会时,格鲁吉亚和俄罗斯在现实和网络世界里双双开火。这不是第一次网络大战,也不会是最后一次。正如Packet Clearing House研究室主任比尔?伍德库克(Bill Woodcock)在《纽约时报》上说的那样,“每台电脑只用花大约4美分。只需要换条坦克履带的钱,你就能搞一场网络大战,傻子才不这么干。”

  SANS网络风暴中心主任马库斯?萨奇斯(Marcus Sachs)觉得这次网络战争似曾相识。他认为,在很大程度上,网络战争是媒体对真实世界的冲突寻求新的视角造成的。他在博客中写道:“我这么说可能显得唐突,但是未来真的很可能会爆发一场国与国之间的网络大战。朋友们,让我们实际一点儿。僵尸攻击(botnet)也好,网站涂改(Web site defacement)也好,能称之为战争么?一大帮网民游走能称之为战争么?我觉得不是。可是今后几年,我可以断定,不管什么时候,只要现实世界出现了入侵或者冲突,一定会有人在网络空间开战。他们会找到这样一个阵地,他们会把这叫做网络战争。”

  实际上“战争”这个词在电脑空间里是无意义的,因为网上并没有“和平”可言。服务器总在被刺探,被攻击,不同的仅仅是力度和来源。如果能从格鲁吉亚网络战争得到什么启示的话,那就是我们要时刻准备着,保卫好自己的系统。

  1.域名系统的烦恼

  因为在互联网域名系统里发现了漏洞,丹?卡明斯基(Dan Kaminsky)遭到了网络安全界的猛批。但不管怎样,在7月召集80多个软硬件厂商联合发布补丁,他并不是哗众取宠。对于服务器来说,卡明斯基发现的严重漏洞仍然是个大问题。

  关于卡明斯基把这一漏洞告诉著名的域名服务器软件BIND的发明人保罗?维克西(Paul Vixie)时的情景,《连线》(Wired)杂志是这样描述的:卡明斯基向维克西说明后,维克西回答:“我要告诉你的第一件事是:千万不要在手机里重复你刚刚说过的话。”

  像维克西那样的技术大腕也怕人窃听到这个消息,可见这个问题确实非同小可。

  7月下旬,漏洞被泄露了出去。卡明斯基敦促人们立即采取行动,他说:“快打补丁,今天就打,现在就打。是的,熬夜也要打。”

  大多数服务器管理员听从了他的建议,但还是有人未加理睬。最近一项由安全设备开发商Infoblox和性能测试公司Measurement Factory进行的研究表明,四分之一的DNS服务器仍然没有按照卡明斯基推荐的风险降低方案实行端口随机选择。

  互联网在这个夏天逃过了一劫,可下一次,我们还会这么幸运吗?

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐